歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

Torchwood遠控木馬“魚目混珠” 遠控木馬新一輪“白加黑”攻擊

來源:本站整理 作者:佚名 時間:2019-09-18 TAG: 我要投稿

近期,360安全大腦監測到大量遠控木馬的傳播,經過深度分析,發現該木馬是“Torchwood”遠控木馬的新變種。曾經該木馬通過下載網站、釣魚郵件和QQ群等方式傳播,都已被360安全大腦全面查殺,而最近的更新則有卷土重來的跡象。
這一次該木馬再度延用“CHM釣魚攻擊”的傳播方式,并配合極具迷惑性的標題,誘導用戶打開木馬文件,使其在不知不覺中遭受攻擊。廣大用戶不必過分擔心,目前360安全大腦已全面攔截該木馬的攻擊,建議用戶及時下載安裝360安全衛士保護電腦隱私及數據安全。
 
CHM文件“魚目混珠”潛入系統,“白加黑”作案手法屢試不爽
什么是CHM文件呢?大家不要覺得CHM文件很“冷門”,它是經過壓縮的各類資源的集合,日常中支持圖片、音頻、視頻、Flash、腳本等內容,因為方便好用、形式多樣,也可算是文件格式界里的“經濟適用款”,越來越多的電子書、說明文檔都采用了CHM格式。在大多數人的印象中,CHM類型文件是“無公害”文檔文件,但只要加以利用便可以“魚目混珠”潛入系統躲過殺毒軟件,并發起隱秘攻擊。事實上,360安全大腦監測到的多起攻擊事件中,都可以看到 CHM 文件的影子,這類手法也被業界形象地稱為“白加黑”攻擊。
歷史手法,又在重演。本輪攻擊中,360安全大腦發現木馬作者再次利用了CHM文件,再配上能夠引起用戶興趣的敏感標題,然后通過下載網站、釣魚郵件和QQ群等渠道傳播,最終誘導用戶打開木馬文件,達到控制用戶電腦,盜取帳號密碼及重要資料等目的。

與“錢財”等有關的誘惑性標題
360安全大腦對該CHM文件進一步溯源分析,發現Torchwood遠控木馬的攻擊核心是加入了具有云控功能的HTML腳本。當用戶運行虛假的CHM文件后,“精心喬裝”的虛假網頁訪問404圖片便會自動彈出,與此同時,潛伏在系統后臺已久的攻擊程序也同時悄然運行。

360安全大腦對該混淆代碼分析,發現其攻擊流程如下:
1、利用certutil.exe 下載一張網站訪問404的截圖run.jpg,用來欺騙用戶。

2、利用certutil.exe 下載壓縮后的攻擊模塊temp1.jpg。

3、利用certutil.exe 下載解壓用的WinRar工具helloworld.jpg。

4、運行WinRar工具,用來解壓攻擊模塊,密碼為“Tatoo”。

5、前端利用欺騙性圖片迷惑用戶,背后則偷偷運行攻擊程序。
整個過程大致如下,完成下載和解壓工作后,木馬就會進入攻擊流程。

具體的攻擊代碼流程如下:
1、首先木馬作者會啟動Perflog.exe文件,該文件是羅技的鍵鼠管理程序,屬于被白利用的正常程序。

2、Perflog.exe會加載黑模塊logidpp.dll,這是木馬作者經常使用的“白加黑“手法。

3、logidpp.dll是一個PELoader程序,它的任務是在內存中解密bugrpt.log文件,并在內存中加載運行此惡意模塊。

4、調用惡意模塊的導出函數“Torchwood“,執行遠控代碼流程。

值得一提的是,此類木馬是一個具有下載和內存執行功能的程序,并且可以通過云控的方式運行任意代碼。這里,我們主要分析的是其傳播遠控程序對受害目標進行攻擊的過程,可以看到該木馬還包含一系列自我保護的功能,以達到長久駐留的目的。

(添加注冊表,長期駐留)

(遠控功能)

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.nkppsz.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        秒速时时彩骗局